欧州のサイバーセキュリティに関する法令、NIS2指令とは

NIS2指令改正の背景

法令違反によって企業に高額な罰金が科される可能性のある法令としてGDPRを想像する方は多いでしょうが、EUにおけるサイバーセキュリティに関する法令である、ネットワークおよび情報システムに関する指令（Network and Information Systems Directive：NIS指令）を想像する方は少ないのではないでしょうか。

NIS指令はEUのネットワーク・情報システムのセキュリティレベル向上を目指して、2016年に成立、施行された法令です。しかしNIS指令では、EU域内において各国が国境を越えたサービスを提供する中で、加盟国によって求めるセキュリティ対策のレベルが異なることから、一部の加盟国がサイバー脅威に対して脆弱になり、その影響がEU全体に波及する可能性があります。そのため、加盟国間の大きな相違を解消することを目的にNIS指令が廃止され、新たにNIS2指令へと改正されることとなりました。

NIS2指令は、2022年12月27日に欧州連合官報に発表され、2023年1月16日に発効しました。EU加盟国はこの指令を国内法に置き換える必要がありますが、その理由は「規則」と「指令」の違いから来ています。「規則」は全ての加盟国を拘束し、直接適用される法令となっている一方で、「指令」はEU加盟国間での規制内容の統一・調整を目的とする法令です。したがって、原則として通常はEU加盟国へは直接適用されず、国内法への置き換えが必要となります。そのため各企業は各加盟国での法令への対応が必要であり、違反時にはGDPRと近しいレベルの高額な違反金を科せられる可能性があります^※。

適用対象範囲の拡大

NIS指令においては、ヘルスケア、交通、金融、デジタルインフラ、水道、エネルギーなど、特定の事業者に対象範囲が限定されていましたが、NIS2指令では、その範囲が大きく拡大されるとともに、新たに主要事業体と重要事業体という2つの分類が加えられています。

サービスの特性や社会への影響、規模などによってリスクが異なることから、主要事業体と重要事業体に分けられ、いずれもNIS2指令に準拠する必要があるものの、主要事業体においては、違反時により厳しい対応が求められます。

NIS2指令の改正に伴う罰則の強化

NIS2指令違反時の罰則については、GDPR同様、高額な違反金を求められる可能性があります。NIS指令での罰則は各加盟国の裁量により定められており、明確な違反金額の設定はありませんでしたが、NIS2指令では主要事業体は最高で1,000万ユーロ、または事業者の全世界年間総売上高の2%のいずれか高い方の額の罰金、重要事業体は最高で700万ユーロ、または事業者の全世界の年間総売上高の1.4%のいずれかの高い方の額の罰金となります。企業に与える金銭的損失、違反に対するレピュテーションリスク伴う機会損失なども踏まえると、事業へのインパクトは大きいものと想定されます。

また、主要事業体に対しては定期的に監査が行われ、インシデントの発生などにより本指令に違反していることが発覚した場合には、主要事業体、重要事業体に関わらず、監査が行われます。

NIS2指令で厳しくなる要求ポイントとは

NIS2指令では、その影響範囲の拡大や、違反金の高額化だけでなく、要求される内容についても高度化されており、有事の対応準備やプロセス整備、サプライチェーンセキュリティの強化といった、包括的なサイバーセキュリティリスクの管理が新たに必要となっています。

NIS指令では、インシデントの報告について明確な期限は求められていなかったものの、NIS2指令では、インシデントの発覚から24時間以内の早期通知が必要となります。また、インシデントの発覚から72時間以内にインシデントの重大性や影響に関する評価を通知し、インシデントの通知から1カ月以内にインシデントの原因や緩和措置策、影響範囲など、インシデントの詳細に関する最終報告が必要となります。また、所管省庁などの要請次第では、最終報告までの間に中間報告が必要となる場合があります。

さらには主要事業体、重要事業体のそれぞれに対し、NIS2指令で求められる要件に対するサイバーセキュリティリスク管理策の承認・実施監督・違反責任を経営陣が負うことが求められています。

そのことから、サイバーセキュリティリスク管理策に対して、従業員が実施し、リスクを評価できるように定期的な訓練を実施することが求められています。